Подтвердите работоспособность сети LAN-to-LAN VPN до ее окончательного развертывания

l2l

Приложение(я): IPSec

Операционная система(ы): Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003

Коротко

Установка виртуальной частной сети между вашим главным и удаленным офисами может потребовать усилий, потому что для этого нужно детальное соответствие пространства IP-адресов, применяемых на обоих концах туннеля. Моделируя подключение внутренне, вы можете разрешить любые возможные конфликты до официального развертывания системы. Вы можете сделать это обратившись в компанию ООО «ЛанСтрой», которая занимается созданием и развитием информационных систем. Она находится по адресу lanstroy.ru.

Если же вы решили связать две частных сети самостоятельно, вам поможет данная статья, в которой мы проделаем следующее:

• Опишем топологию сети, которую вы можете использовать для установки туннеля VPN внутри сети, до развертывания системы.

• Обсудим протоколы шифрования и аутентификации, которые поддерживают IPSec VPN.

• Познакомим вас с конфигурированием политик шлюза и сети в конечных точках туннеля IPSec VPN.

• Покажем, как провести испытание связи между локальными и удаленными частными сетями.

Предприятия часто должны соединять разнородные сети, например, сети, находящиеся в основном офисе и в филиале. Создавая виртуальную частную сеть между этими местами расположения, можно избежать затрат на инвестирование в дорогостоящие выделенные каналы. В то время как существует несколько различных способов создания виртуальных частных сетей, в этой статье основное внимание уделяется использованию аппаратных маршрутизаторов, которые могут служить конечными точками VPN. В частности, мы сосредоточимся на параметрах настройки IP, которые вы должны выполнить на обоих концах туннеля VPN.

Топология LAN-to-LAN VPN

При создании виртуальной сети вы должны сконфигурировать три главных класса установочных параметров: параметры настройки аутентификации, параметры настройки шифрования и параметры настройки IP. Среди них параметры настройки IP являются, возможно, самыми простыми для конфигурирования, поэтому разумно начать именно с него. Как только вы составили план пространства IP адресов, используемых в ЛВС в обоих местах, можно конфигурировать сами шлюзы VPN. И как только вы узнаете, как создавать канал VPN, можно обратить свое внимание на аутентификацию и шифрование.

В целях данной статьи мы будем работать с топологией шлюза VPN, показанной на Рисунке А.

 

ris_a

Мы преднамеренно установили туннель VPN на сегменте частной сети, что позволяет нам тестировать этот туннель до развертывания системы. В частности, эта топологии имеет следующие характеристики:

• Две частные ЛВС (10.0.100.0/24 и 10.0.200.0/24) находятся обязательно в отдельных подсетях, как обозначено уникальными значениями в третьем октете сетевого адреса.

• Локальным IP-адресом каждого маршрутизатора IPSec является 10.0.x.1, который также служит в качестве заданного по умолчанию адреса шлюза/маршрутизатора соответствующей локальной сети.

• Глобальным IP адресом каждого маршрутизатора IPSec является 192.168.10.x; до развертывания системы вы заменяете эти адреса реальными общедоступными адресами.

Туннель VPN проходит через сеть 192.168.10.0/24 только для целей тестирования; после развертывания системы он пройдет через общедоступный Интернет.

Каждая частная ЛВС называется локальной сетью; частная ЛВС на противоположном конце канала называется удаленной сетью.

Коротко об IPSec

Как показано в нашей топологии, маршрутизаторы, которые мы используем, являются маршрутизаторами IPSec. Сокращение от IP Security, IPSec — это совокупность стандартизированных криптографических технологий, обеспечивающих конфиденциальность, целостность данных и аутентификацию на уровне IP.

В основе IPSec лежит концепция, известная как ассоциация безопасности Security Association (SA). Вы можете думать об SA как о договоренности между двумя конечными точками туннеля VPN; это соглашение определяет параметры безопасности (ключи и алгоритмы), о которых две конечные точки договариваются для использования. SA создается из двух различных протоколов: один обрабатывает шифрование, другой -аутентификацию, как описано здесь:

Протокол ESP. Включает поддержку алгоритмов шифрования, например Стандарта шифрования данных (Data Encryption Standard, DES), Triple DES и Улучшенного стандарта шифрования (Advanced Encryption Standard-AES).

Протокол аутентификации АН. Включает поддержку алгоритмов аутентификации, например Message Digest 5 (MD5) и Безопасный хеш-алгоритм (Secure Hash Algorithm — SHA1).

Как только две конечные точки согласовывают, какие алгоритмы шифрования и аутентификации нужно использовать, они могут установить сеанс связи. Каждый сеанс управляется протоколом Обмена криптографическими ключами (IKE), который работает на двух уровнях: уровне шлюза и уровне сети. В предстоящих задачах вы увидите эти уровни, реализованные как политики шлюза и сети соответственно.

Продолжение следует.

Похожее

Поиск

Новости в картинках